Предупреждение о безопасности: Скрипт ClawProxy похитил API-ключи, что привело к значительному счету от OpenRouter
Что произошло
Разработчик купил и установил скрипт ClawProxy от пользователя Reddit на то, что он считал безопасной, изолированной средой. Система представляла собой "достаточно защищённую версию 3.13, работающую на WSL Ubuntu 24.04 внутри Windows 11 miniPC", где ничего больше не работало намеренно, как в песочнице.
Ключевые детали инцидента
- Установка представляла собой закрытый исходный код скриптовой установки.
- Прокси-сервис был виден на локальном порту через веб-интерфейс.
- Разработчик поместил ключи API провайдеров вывода в прокси-сервис, включая один ключ OpenRouter, который разрешал платные запросы моделей.
- Этот ключ OpenRouter нигде больше не использовался.
- На следующий день разработчик проснулся с крупным счётом от OpenRouter.
- Ключ API OpenRouter был использован Google Vertex API в качестве прокси трафика, что предотвратило отслеживание через OpenRouter для выявления источника.
- Использование было для Opus 4.6 за ночь, что описывается как "очень умная афера".
- Затраты были значительными и невозвратными.
Последствия и тревожные сигналы
- Разработчик немедленно удалил прокси и связался с продавцом.
- Продавец обвинил разработчика в "небезопасной среде" с оскорбительным отношением.
- Разработчик понял, что продукт, вероятно, был преднамеренным похитителем ключей.
- При попытке повторно скачать пакет для проверки распределённый git был закрыт.
- Продавец отказался предоставить исходный код, заявив, что он является собственностью, и упомянул "новую версию" — что подтвердило подозрения.
- Разработчик запросил возврат средств, но не ожидает его получить.
Вывод по безопасности
Разработчик подчёркивает: «НЕ ДОВЕРЯЙТЕ СВОИ УЧЕТНЫЕ ДАННЫЕ ИЛИ КЛЮЧИ ЛЮБОМУ ЧЕЛОВЕКУ ИЛИ ОРГАНИЗАЦИИ, КОТОРЫХ ВЫ НЕ МОЖЕТЕ ПРИВЛЕЧЬ К ОТВЕТСТВЕННОСТИ, ЕСЛИ ОНИ СОВЕРШАТ ЗЛОНАМЕРЕННЫЕ ДЕЙСТВИЯ.» Это включает установку потенциально крадущего ключи программного обеспечения, даже на то, что кажется безопасной, изолированной системой.
📖 Read the full source: r/openclaw
👀 Смотрите также
BlindKey: Слепая инъекция учетных данных для ИИ-агентов
BlindKey — это инструмент безопасности, который предотвращает доступ агентов ИИ к открытым API-ключам, используя зашифрованные токены хранилища и локальный прокси. Агенты ссылаются на токены, такие как bk://stripe, а прокси внедряет реальный ключ во время запроса.
Анализ безопасности ИИ-агентов выявляет нарушенную модель доверия и высокий уровень уязвимостей.
Анализ безопасности ИИ-агентов показывает, что фундаментальная модель доверительных отношений нарушена: 49% пакетов MCP имеют проблемы с безопасностью, а косвенное внедрение достигает 36-98% успешности атак на передовые модели.
Широко открытый коготь: Угрозы безопасности из-за излишних разрешений для ботов в Discord
Исследователь безопасности демонстрирует, как OpenClaw может быть использован злоумышленниками, когда пользователи добавляют бота-ассистента ИИ на свой Discord-сервер с чрезмерными разрешениями, нацеливаясь на пользователей, которые предоставляют root- или административный доступ без учёта мер безопасности.
Команды аудита безопасности OpenClaw: отчеты об уязвимостях на простом английском языке
Пользователь Reddit поделился промптом для OpenClaw CLI, который запускает глубокую проверку безопасности и выводит результаты на простом английском языке, указывая, что именно уязвимо, оценки серьёзности и точные исправления в конфигурации.